Съгласно една от най-новите разпоредби на ЕС – Общ регламент за защита на данните /GDPR/, който е вече в сила от 25 май тази година /2018г/, всички ЮЛ и ФЛ, които обработват лични данни на физически лица, граждани на ЕС, са администратори или обработващи данни и следва да спазват редица нови задължения и принципи. Лични данни е всяка информация, която може да идентифицира конкретно физическо лице, а обработване на лични данни е всяка операция извършвана с наличие на лични данни. Ако не спазват тези принципи са изложени от риск от значителни финансови санкции. Особено внимание е отделено на принципът на отчетността.
Един от най-важните инструменти за постигане на отчетност е воденето на Регистър на дейностите по обработване на лични данни , дефиниран е в чл.30 от регламента, където е описано конкретно и ясно какво трябва да съдържа като реквизити регистъра на администратора и обработващия данни съответно и в каква форма трябва да се води. Дотук всичко е ясно, ако прочетем внимателно чл.30 от GDPR обаче, ще стигнем до момента , в който е описано в кои случаи не се прилага това задължение, параграф 5 гласи следното:
“5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.”
Тук възниква въпросът , малките и микро предприятия със служители под 250 души, следва ли да водят регистри на дейностите по обработване?
Българският надзорен орган по защита на данните в лицето на Комисията за защита на личните данни /КЗЛД/ публикува информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните). Отделено е особено място на насоките от Работна група по чл. 29 /РГ29/ с оглед на началото на прилагането на Общия регламент за защита на данните. Работната група по член 29 /или по-ново Европейският комитет по защита на
Данните/, която обединява всички национални органи по защита на данните, включително Европейския надзорен орган по защита на данните, играе основна роля в подготовката за прилагането на регламента, като издава насоки за дружествата и другите заинтересовани страни. Една от тези насоки е свързана точно с регистрите по чл.30 от GDPR и изключенията от задължението за поддържане на регистри по дейностите по обработване, съгласно чл. 30, параграф 5 от Общия регламент за защита на данните. В документа, който съдържа становището на РГ29 е обяснено подробно , че изключението от задължението за водене на регистри не е абсолютно и това изключение не се прилага, когато :
- Обработването на данни поражда риск /не само голям/ за правата и свободите на индивидите
- Обработването не е спорадично / т.е. е постоянно/
- Обработването включва специални категории данни
Следователно , когато компания с по-малко от 250 души персонал попада в една от тези три хипотези, следва тази компания да поддържа регистри на дейностите!
Разглежда се най-масовия пример: Малка фирма с персонал под 250 души обработва данни на своите работници. Това обработване не е спорадично, то е постоянно във времето. Тази дейност по обработване следва да бъде отразена и записана в регистър на дейностите.
По тази логика общо погледнато почти всяка фирма, която има назначени даже и един-двама служители , би следвало да попада във втората хипотеза и да поддържа регистър на дейностите, съгласно чл.30 от GDPR. Нашето тълкуване е, че евентуално това задължение би могло да се спести единствено на фирми, които нямат назначени служители, освен управител, който съвпада със собственика на капитала, при условие че не попадат в нито една от другите хипотези. РГ29 съзнава, че това е ново административно изискване към компаниите и насърчава националните надзорни органи да подкрепят компаниите с експертна помощ в тази насока. Пълният текст на Позиция на Работната група по член 29 относно изключенията от задължението за поддържане на регистри по дейностите по обработване, съгласно чл. 30, параграф 5 от Общия регламент за защита на данните е достъпно на страницата на КЗЛД – https://www.cpdp.bg
Имате ли нужда от съдействие ?
Ако се нуждаете от бърз и улеснен модел и инструмент за водене на Регистри на дейностите по чл.30 от GDPR, може да се възползвате от нашето предложение за Онлайн платформата за GDPR Info-Мanage data, която съдържа модели с предварително попълнени регистри за дейностите по обработка на данни в областта на управление на човешките ресурси /персонал/ , както и стандартизирана допълнителна база от записи в сферата на търговската дейност /търговски фирми/, образованието /училища, детски градини/ и местното самоуправление/общински администрации, общински предприятия/.
Описание на продукта и цени вижте на: gdpr.e-portal.info.
Изпратете запитване за нашите услуги до 30/09/2018 оттук: форма за запитване и ще получите преференциални условия. Благодарим Ви за проявения интерес!
